 |
|||||
|
|
|
|||
|
|
 |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
 |
|
|
|
|
|
|
|||
|
|||||
|
|||||
|
|||||
|
|
|
|||
|
|
|
|
||
|
|
|
|||
|
|||||
Le Cert-IST vous propose ce mois-ci un dossier spécial sur le "Service Pack 2" (SP2) de Windows XP.
Le SP2 tant attendu est sorti ce mois d'août. Il propose une refonte complète de la gestion de la sécurité sur les plates-formes Windows XP. La sécurité devient ainsi une brique essentielle de cette nouvelle version, avec une configuration par défaut plus restrictive. Cette nouvelle mouture n'a pas été sans poser quelques problèmes de compatibilité avec les logiciels tiers fonctionnant sur ce système.
Cependant, le Cert-IST recommande l'installation de ce "Service Pack" sur les plates-formes Windows XP. Cette intégration devra être précédée de tests de qualification poussés afin de détecter tous les problèmes que pourra engendrer le SP2 vis-à-vis des environnements de travail spécifiques à chaque Système d'Information.
Dans ce dossier, nous ferons un état des lieux des nouvelles fonctionnalités de ce "Service Pack". Ensuite un récapitulatif des vulnérabilités corrigées sera proposé avant de terminer par un article sur les différents problèmes de compatibilité et autres problèmes.
Le "Service Pack 2" est disponible en version anglaise, depuis le 10/08/2004, et française, depuis le 16/08/2004 (d'autres versions sont aussi disponible comme l'allemand et le japonais). A ce jour, il est disponible à l'adresse suivante : http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=049C9DBE-3B8E-4F30-8245-9E368D3CDB5A
A - Les nouveautés du Service Pack 2 de Windows XP
Le "Service Pack 2" (SP2) de Windows XP tant attendu a apporté une véritable refonte de la sécurité du système d'exploitation de Microsoft.
Ce Service Pack à l'instar de ses prédécesseurs a apporté un bon nombre de modifications dans la gestion de la sécurité de Windows XP. Dans cet article, nous tenterons d'aborder les principales nouveautés de ce SP2. Le cœur de ces améliorations est une prise en compte de la sécurité par défaut.
Centralisation de la gestion de la sécurité
La gestion des fonctionnalités de sécurité est désormais centralisée sous un même composant : le Centre de Sécurité de Windows XP ("WSC" – "Windows Security Center").
Ce composant est accessible dans le menu "Panneau de configuration" ou à travers le menu des outils système.
Il permet de regrouper en un seul endroit la gestion :
- du garde-barrière personnel de Microsoft,
- des mises à jour logicielles de la suite Microsoft,
- des anti-virus (*),
- des options de sécurité d'Internet Explorer.
Exemple : http://www.theeldergeek.com/security_center.htm
(*) : Cette fonctionnalité permet de contrôler la présence d'un anti-virus sur le système, ainsi que son état de mise à jour.
Protection pro-active
Afin de contrer les futures vulnérabilités avant la sortie de leur correctif respectif, Microsoft a mis au point deux mécanismes permettant de protéger les zones mémoires contre les attaques de type "débordement de pile". Ces mécanismes font partie des technologies de type "Data Execution Prevention" ("DEP").
Microsoft a introduit dans un premier temps le drapeau "GS" ("GS" flag). Ce dispositif permet de contrôler en temps réel les exécutions des programmes afin d'éviter les attaques par débordement de pile. Afin de protéger les différents programmes du système par ce mécanisme, Microsoft a dû recompiler une partie importante des programmes système de Windows XP (d'où la taille importante du Service Pack).
Le deuxième mécanisme de protection "pro-active" est l'intégration d'un autre drapeau : "NX no-execute page protection" (AMD) ou "Execute disable bit" (Intel). Ce drapeau permet de prendre en compte les spécificités des nouveaux processeurs AMD K8 et Intel Itanium qui proposent des fonctionnalités de sécurité contre les exécutions de code (via un débordement de pile) dans les zones de mémoire non prévues à cet effet.
De plus, le SP2 inclut tous les correctifs fournis avec le SP1 ainsi que ceux parus au-delà (jusqu'au bulletin de Microsoft MS04-024).
Article : http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2mempr.mspx
Amélioration de la gestion des e-mails par Outlook Express
Le client de messagerie Outlook Express a amélioré sa gestion des messages HTML en empêchant ces derniers d'ouvrir une connexion sur des sites web afin par exemple d'afficher dans le corps du message des images téléchargées. Cette protection empêche notamment les e-mails de "spam" de contacter le site web du spammeur (via une image de 1 pixel par exemple) afin de valider le bon acheminement du message. Cette option reste néanmoins configurable.
Article : http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2email.mspx
Amélioration de la gestion des contenus web
Afin d'améliorer la sécurité vis-à-vis des navigations sur Internet, le SP2 apporte plusieurs améliorations notables :
- Amélioration des informations affichées à l'utilisateur :
D'un point de vue utilisateur, un effort conséquent a été fourni dans les messages d'avertissement liés aux dangers des navigations/téléchargements sur Internet. Les informations sont à présent affichées dans la barre d'état du navigateur pour ne pas perturber l'utilisateur.
- Amélioration de la gestion par défaut des contrôles ActiveX, des scripts et des téléchargements par Internet Explorer :
La gestion des contrôles ActiveX et autres scripts devient plus restrictive par défaut, ce qui permet d'avertir les utilisateurs des risques encourus en acceptant l'exécution de ces composants. De même les fonctionnalités de fenêtrage, l'interaction entre différents "domaines", la fonction de cache, l'installation de plugins, la gestion des objets signés et la gestion des types MIME ("Multipurpose Internet Mail Extensions", RFC 1521) sont mieux contrôlés par le SP2.
- Amélioration de la sécurité de "Zones" ("zone locale", "zone Internet", ..) :
Les pirates utilisent des failles d'Internet Explorer qui leur permettent d'exécuter du code arbitraire dans la zone de confiance ("Zone locale"). Afin de les contrer, le SP2 a renforcé la sécurité de cette zone pour la rendre plus imperméable à ces utilisations malveillantes.
- Amélioration de la gestion des protocoles Internet :
Un souci de sécurité a été également apporté dans la gestion des protocoles Internet. Ainsi, les protocoles Internet comme "file:", "local:", "shell:", "hcp:" et "ftp:" peuvent être "blacklistés" par Internet Explorer qui empêchera leur utilisation.
- Gestion centralisée des "add-ons" utilisés par Internet Explorer :
Les "add-ons" utilisés par Internet Explorer sont dorénavant gérés de manière centralisée au moyen d'un outil spécifique.
- Protection renforcée contre les attaques de type "spoofing" et "phishing" :
Des améliorations ont été également apportées au navigateur Internet Explorer afin de protéger les utilisateurs contre les attaques de détournement de site web ("spoofing" et "phishing").
- Amélioration de la gestion par défaut des "Pop-Up" :
Afin de réduire les nuisances des navigations sur le web, Microsoft a modifié le comportement par défaut de son navigateur. En effet, désormais tous les "pop-ups" sont bloqués par défaut (ces derniers peuvent être activés par la suite). Ainsi, lorsqu'un site souhaite ouvrir un "pop-up", un son et un message de notification dans la barre de statut avertissent l'utilisateur qui peut ou non activer le "pop-up".
- Amélioration de la gestion des fichiers téléchargés ("Zone identifier") :
Pour la gestion des fichiers NTFS, Microsoft a introduit un nouvel élément : l'identifiant de zone ou "Zone Identifier" –"ZoneID". Ce drapeau est positionné dans la partie "ADS" ("Alternate Data Stream") de la structure de chaque fichier issu/téléchargé depuis les applications Internet Explorer, Outlook Express ou Windows Messenger. Il permet ainsi de contrôler l'origine du fichier afin de prévenir l'utilisateur de toute exécution de fichier "malveillant" provenant d'Internet (à travers un des logiciels mentionnés plus haut). Néanmoins, cette fonctionnalité fait l'objet de nombreux débats car elle peut être contournée aisément (en nécessitant néanmoins une interaction de l'utilisateur connecté).
- Amélioration de la gestion des pièces jointes :
La gestion des pièces jointes a, elle aussi, été améliorée en proposant à l'administrateur du système d'affecter un niveau de risque en fonction de l'extension de la pièce jointe (catégorie "Gestion des attachements" dans la liste des modèles de politique de sécurité – "Active Directory Group Policy Objects").
Nota : Certains paramètres de configuration d'Internet Explorer peuvent être à présent contrôlés à travers la Base de Registre du système ou via la politique de sécurité ("Group Policy").
Article : http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2brows.mspx
Garde-barrière activé par défaut et protection des services réseau
Le garde-barrière personnel ("ICF" – "Internet Connection Firewall") des systèmes Windows XP est désormais activé par défaut. Il est lancé par le système avant même le service réseau empêchant ainsi les paquets de pouvoir passer au travers de cette protection. Le garde-barrière peut être configuré à partir de la politique de sécurité ("Group Policy") du système.
"ICF" permet de prendre en compte les contraintes des utilisateurs mobiles en configurant des profils spécifiques (et interchangeables) à travers la politique de sécurité. De même que les possibilités de configuration sont plus étendues, la configuration du garde-barrière peut être stockée à distance afin d'être téléchargée sur un ensemble de machines.
Cependant, l'implémentation/la configuration du garde-barrière souffre de deux problèmes majeurs :
- Le premier problème est une configuration relativement restrictive qui empêche certains logiciels réseau de fonctionner correctement (voir plus loin l'article consacré à ce problème). Cependant, des règles d'exception peuvent être configurées afin de permettre des communications entre le système et une application définie (et sure).
- Le second problème est une absence de filtrage des connexions sortantes (problématique pour les chevaux de Troie et autres vers) et une confiance totale dans les flux réseau provenant des machines du même réseau local.
Ces deux orientations ont été prises par Microsoft afin de perturber au minimum l'utilisateur dans son travail.
Concernant les services réseau, une amélioration conséquente a été consentie au niveau de leur sécurité. Ainsi, les services de type "RPC" ("Remote Procedure Call") sont bloqués par défaut par le garde-barrière. La gestion des objets DCOM ou RPC propose des listes de contrôle d'accès ("ACL") ou des mécanismes d'authentification afin de prévenir des attaques sur les "futures" vulnérabilités de ces services.
Le service "Windows Messenger", utilisé par les spammeurs (Cf l'article du Bulletin Sécurité n°62 du mois de novembre 2002 intitulé "Un nouveau type de SPAM"), a été désactivé par défaut.
Nota :
- Le service de publication web "WEBDAV" a été modifié afin de supprimer l'authentification en clair des utilisateurs (les autres méthodes sont alors à utiliser).
- Une amélioration de la sécurité et notamment du transfert des pièces jointes a été mise en œuvre sur les outils tels que le lecteur multimédia "Windows Player" et MSN.
Article : http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2netwk.mspx
Amélioration des mises à jour
Le service de mise à jour ("Windows Update") a lui aussi subi des améliorations notables au niveau des performances de téléchargement (technologie "BITS" version 2.0 – "Background Intelligent Transfer Service"), avec notamment une gestion des priorités de téléchargement en fonction de la criticité des correctifs, et au niveau de la sécurité de ces téléchargements (HTTPS).
Il est à noter aussi que ce service intègre dorénavant les mises à jour pour les logiciels de la suite "Office", du serveur "Microsoft SQL" et du serveur de messagerie "Exchange".
Article : http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2maint.mspx
Autres :
- Une amélioration dans la gestion des connexions sans-fil a été apportée par le biais d'un point central de configuration.
- Le SP2 propose également des rapports sur la politique de sécurité appliquée par utilisateur ou par groupe d'utilisateurs.
Pour plus d'information :
- Site de Microsoft - Le Service Pack 2 de Windows XP : http://www.microsoft.com/windowsxp/sp2/default.mspx
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/winxpsp2.mspx
http://download.microsoft.com/download/7/c/a/7cac79ca-cbf3-4eff-91c3-e260d9613346/Nouveautés_en_matière_de_sécurité_du_Service_Pack_2_de_Windows_XP_v1.2.ppt - Site de Microsoft - Présentation du garde-barrière : http://support.microsoft.com/default.aspx?kbid=843090&product=windowsxpsp2
http://www.microsoft.com/downloads/details.aspx?familyid=cb307a1d-2f97-4e63-a581-bf25685b4c43&displaylang=en
http://www.microsoft.com/downloads/details.aspx?FamilyID=4454e0e1-61fa-447a-bdcd-499f73a637d1&DisplayLang=en
B - Les correctifs du "Service Pack 2" (SP2)
Les Services Packs sont cumulatifs, c'est-à-dire que les bogues résolus dans un Service Pack le sont aussi dans les Service Packs suivants. Par exemple, le SP2 pour Windows XP contient tous les correctifs du SP1 pour Windows XP. Il n'est donc pas nécessaire, en théorie (l'histoire a montré quelques cas intéressants de "régression"), d'installer le premier Service Packs avant d'installer le SP2 pour Windows XP.
Vulnérabilités décrites dans les Avis de sécurité Cert-IST et corrigées par le SP2
Au total 47 avis Cert-IST sont impactés et corrigés par le SP2 de XP. Ils sont listés dans le tableau suivant :
Avis CERT-IST | Référence Microsoft | Description |
Avis Q318138 | Débordement de pile dans la gestion de l'annuaire du service "RAS" sous Microsoft Windows NT 4.0, 2000 et XP | |
Avis Q329115 | Vulnérabilité dans le contrôle des certificats X.509 sous Windows et KDE | |
Avis Q329077 | Multiples vulnérabilités dans la machine virtuelle de Microsoft | |
Avis Q323255 | Vulnérabilités des fonctions d'aide HTML sous Microsoft Windows | |
Avis Q327696 | Multiples vulnérabilités dans Microsoft IIS 4.0, 5.0 et 5.1 | |
Avis Q329834 | Vulnérabilité dans l'implémentation PPTP sous Windows 2000 et XP | |
Avis Q328970 | Vulnérabilités dans Microsoft Internet Explorer 5.01, 5.5 et 6 | |
Avis Q324929 | Vulnérabilités dans Microsoft Internet Explorer 5.5 et 6 | |
Avis Q329170 | Vulnérabilité dans la gestion du protocole SMB sous Windows 2000 et XP | |
Avis Q328310 | Vulnérabilité dans la gestion du message Windows "WM_TIMER" | |
Avis Q329390 | Débordement de pile dans le gestionnaire du bureau de Windows XP | |
Avis Q810833 | Débordement de pile dans le service "Locator" sous Microsoft Windows NT 4.0, 2000 et XP | |
Avis Q810847 | Vulnérabilités dans Microsoft Internet Explorer 5.01, 5.5 et 6 | |
Avis Q810577 | Débordement de pile dans "Windows Redirector" sous Windows XP | |
Avis Q815021 | Vulnérabilité dans la librairie dynamique (DLL) "NTDLL.DLL" sur Microsoft Windows 2000 et NT 4.0 | |
Avis Q814078 | Vulnérabilité de l'interpréteur "Windows Script Engine" sous les systèmes Microsoft Windows | |
Avis Q331953 | Vulnérabilité dans le service "DCE-RPC" des systèmes Microsoft Windows NT4, 2000 et XP | |
Avis Q811493 | Débordement de pile dans le noyau Windows NT, Windows 2000 et Windows XP | |
Avis Q330994 | Vulnérabilité dans le client de messagerie Microsoft Outlook Express | |
Avis Q813489 | Multiples vulnérabilités dans Microsoft Internet Explorer | |
Avis Q811114 | Multiples vulnérabilités dans Microsoft IIS 4.0, 5.0 et 5.1 | |
Avis Q818529 | Multiples vulnérabilités dans le navigateur web Microsoft Internet Explorer versions 5.01, 5.5 et 6.0 | |
Avis Q819639 | Vulnérabilité dans le lecteur multimédia version 9 de Windows | |
Avis Q823559 et Q817606 | Multiples vulnérabilités dans les systèmes Microsoft Windows | |
Avis Q821557 | Vulnérabilité dans Windows XP | |
Avis Q823980 | Vulnérabilité dans la gestion des messages RPC sous Microsoft Windows NT 4.0, 2000, XP et 2003 | |
Avis Q819696 | Deux débordements de pile dans "DirectX" sous Microsoft Windows | |
Avis Q823718 | Vulnérabilité dans le composant MDAC sous les systèmes Microsoft Windows | |
Avis Q822925 | Multiples vulnérabilités dans le navigateur web Microsoft Internet Explorer versions 5.01, 5.5 et 6.0 | |
Avis Q824146 | Débordement de mémoire dans le composant "RPCSS" sur Microsoft Windows NT 4.0, 2000, XP et 2003 | |
Avis Q828750 | Multiples vulnérabilités dans le navigateur web Microsoft Internet Explorer versions 5.01, 5.5 et 6.0 | |
Avis Q823182 | Vulnérabilité du service Microsoft "Messenger" | |
Avis Q828035 | Vulnérabilité dans le gestionnaire de l'aide sous Microsoft Windows Me, NT, 2000, XP et 2003 | |
Avis Q825119 | Vulnérabilité dans la fonctionnalité "Authenticode" sous les systèmes Microsoft Windows NT, 2000, XP, et 2003 | |
Avis Q824141 | Vulnérabilité dans les fonctions "ListBox" et "ComboBox" sous Microsoft Windows NT, 2000, XP et 2003 | |
Avis Q824145 | Multiples vulnérabilités dans le navigateur web Microsoft Internet Explorer versions 5.01, 5.5 et 6.0 | |
Avis Q828749 | Débordement mémoire dans le service "Workstation" sur Microsoft Windows 2000 et XP | |
Avis Q832483 | Vulnérabilité dans le composant MDAC sous les systèmes Microsoft Windows | |
Avis Q832894 | Multiples vulnérabilités dans le navigateur web Microsoft Internet Explorer versions 5.01, 5.5 et 6.0 | |
Avis Q828028 | Vulnérabilité dans la librairie ASN.1 sur les systèmes Microsoft Windows | |
Avis Q835732 et Q828741 | Multiples vulnérabilités dans les systèmes d'exploitation Microsoft Windows | |
Avis Q837009 | Vulnérabilité dans la gestion des fichiers ".CHM" sous Microsoft Outlook Express 5.5 et 6.0 | |
Avis Q837001 | Vulnérabilité dans "Microsoft Jet Database Engine" sur les systèmes Microsoft Windows | |
Avis Q840374 | Vulnérabilité dans le service "Help and Support Center" sous Microsoft Windows XP et 2003 < |